Kliknij ten link, aby przejść do panelu logowania.
Teraz do wszystkich płatnych Serwisów internetowych
Wydawnictwa Podatkowego GOFIN loguj się w jednym
miejscu.


Po zalogowaniu znajdziesz menu z linkiem do swojego
konta abonenta i dodatkowych opcji.

gofin.pl
Wydawnictwo Podatkowe
czwartek, 13 marca 2025 r.

Jak szukać?»

logo
Aktualnie jesteś:
ZASOBY BEZPŁATNE

Podatek dochodowy

VAT i akcyza

Prawo pracy

Ubezpieczenia
i świadczenia

Rachunkowość

Firma

 

Prawnik radzi

KLASYFIKACJE
Polska Klasyfikacja Wyrobów i Usług
Klasyfikacja Środków Trwałych
Polska Klasyfikacja Działalności
Klasyfikacja zawodów i specjalności
Polska Klasyfikacja Obiektów Budowlanych

AKTYWNE WZORY DRUKÓW I UMÓW

Firma - zasoby bezpłatne
Postępowanie w przypadku naruszenia ochrony danych osobowych
Dodatek do Gazety Podatkowej
nr 44 (2023) z dnia 1.06.2023
Postępowanie w przypadku naruszenia ochrony danych osobowych - czytaj w formacie PDF
otwórz artykuł w nowym oknie drukuj artykuł Incydent naruszenia ochrony danych i jego konsekwencje Kontrole i uprawnienia Prezesa UODO

Dokonanie zgłoszenia do Prezesa UODO

Naruszenie ochrony danych może zdarzyć się w każdym podmiocie. Jeżeli takie zdarzenie będzie miało miejsce i np. dojdzie do wysłania dokumentów zawierających dane osobowe na inny adres czy zagubienia niezabezpieczonych urządzeń informatycznych zawierających takie dane, wówczas reakcja administratora danych ma decydujące znaczenie. Jednym z jego obowiązków może być dokonanie zgłoszenia takiego incydentu do Prezesa Urzędu Ochrony Danych Osobowych.

Administrator ma 72 godziny

W przypadku naruszenia ochrony danych osobowych administrator powinien bez zbędnej zwłoki, w miarę możliwości nie później niż w terminie 72 godzin po stwierdzeniu naruszenia, zgłosić je organowi nadzorczemu. W Polsce taką funkcję pełni Prezes UODO. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia. Takiego zgłoszenia administrator danych nie musi dokonywać, jeżeli jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.

Administratorzy danych często mają wątpliwości, jak powinni postąpić, gdy w przeciągu tych 72 godzin nie mają jeszcze pełnej wiedzy na temat zaistniałego incydentu, a co za tym idzie, ich zgłoszenie może być niepełne. W takim przypadku, jak informuje UODO, w ciągu pierwszych 72 godzin trzeba przekazać to, co już udało się ustalić. Natomiast należy niezwłocznie uzupełnić zgłoszenie o nowe informacje, gdy tylko administrator danych ustali kolejne szczegóły związane z zaistniałym naruszeniem.

Takie zgłoszenie musi co najmniej:

  • opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie, 
  • zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji, 
  • opisywać możliwe konsekwencje naruszenia ochrony danych osobowych, 
  • opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków; np. w przypadku naruszenia polegającego na zagubieniu lub kradzieży niezabezpieczonych (niezaszyfrowanych) urządzeń informatycznych z danymi osobowymi (smartfony, komputery przenośne) możliwymi działaniami naprawczymi mogą być: skuteczne szyfrowanie pamięci urządzeń/plików z danymi osobowymi (zgodne z aktualną wiedzą techniczną) oraz dodatkowe (mechanizmy weryfikacji użytkownika np. hasło, PIN). 

W zależności od rodzaju zgłoszenia określa się, czy jest to zgłoszenie:

  • kompletne/jednorazowe - kiedy administrator posiada pełny obraz naruszenia i ma wszystkie informacje o tym co, gdzie, kiedy i w jakim zakresie wydarzyło się w związku z naruszeniem,
  • wstępne - kiedy administrator nie posiada jeszcze wszystkich danych dotyczących naruszenia, a grozi mu przekroczenie terminu 72 godzin wymaganych do zgłoszenia naruszenia,
  • uzupełniające/zmieniające - jeśli po wypełnieniu zgłoszenia wstępnego udało się administratorowi danych uzyskać brakujące informacje i chce je złożyć do urzędu lub w przypadku gdy informacje udzielone w zgłoszeniu kompletnym/jednorazowym okazały się błędne i chce je zaktualizować.

Zgłoszenia można dokonać na cztery sposoby:

  • elektronicznie poprzez wypełnienie dedykowanego formularza elektronicznego dostępnego bezpośrednio na platformie Biznes.gov.pl,
  • elektronicznie poprzez wysłanie wypełnionego formularza na elektroniczną skrzynkę podawczą ePUAP:/UODO/SkrytkaESP,
  • elektronicznie poprzez wysłanie wypełnionego formularza za pomocą pisma ogólnego dostępnego na platformie Biznes.gov.pl lub na platformie epuap.gov.pl,
  • tradycyjną pocztą, wysyłając wypełniony formularz na adres Urzędu.

Najczęstsze błędy w zgłoszeniach

UODO w opracowaniu "Dotychczasowe doświadczenia w zakresie zgłaszania naruszeń ochrony danych osobowych i zawiadamiania o nich osób, których dane dotyczą", dostępnym na stronie internetowej www.uodo.gov.pl, wskazuje na najczęstsze błędy popełniane przez administratorów danych dokonujących zgłoszeń incydentów. Wśród nich wymienia m.in. nierzetelne, zdawkowe przekazywanie informacji, które uniemożliwia ocenę prawdopodobieństwa wystąpienia ryzyka naruszenia praw lub wolności osób fizycznych. Do błędów tych zalicza się też wypełnianie zgłoszeń w sposób rutynowy, podanie niewłaściwej liczby osób, której dane są zagrożone naruszeniem, podanie niewłaściwej kategorii danych, wskazanie niewłaściwego poziomu ryzyka czy też niewłaściwego czasu zaistnienia naruszenia. Oprócz tego UODO zwraca uwagę na częsty brak przeprowadzenia prawidłowej oceny ryzyka naruszenia praw lub wolności osób fizycznych. Ponadto wskazuje, iż zgodnie z art. 33 ust. 3 RODO, administrator powinien w zgłoszeniu podać tylko kategorie danych osobowych, których dotyczy naruszenie. Niewłaściwą praktyką jest podawanie w zgłoszeniu konkretnych imion, nazwisk lub adresów zamieszkania osób, których dane dotyczą.

Wdrożenie obsługi naruszeń według UODO

1. Opracowanie procedury postępowania z naruszeniem.
2. Ustalenie zasad przekazywania informacji (różne kanały komunikacji) - wewnętrzny formularz zgłoszenia.
3. Zbudowanie świadomości poprzez szkolenie pracowników.
4. Wprowadzenie checklisty pozwalającej ocenić wpływ naruszenia na podmiot.
Wybrane fragmenty dedykowanego formularza elektronicznego dotyczące szczegółów naruszenia
Wybrane fragmenty dedykowanego formularza elektronicznego dotyczące szczegółów naruszenia
otwórz artykuł w nowym oknie drukuj artykuł Incydent naruszenia ochrony danych i jego konsekwencje Kontrole i uprawnienia Prezesa UODO
 
PRZYDATNE LINKI
Portal Podatkowo-Księgowy

GOFIN.pl

Gofin.pl/PIT

Gofin.pl/Prawnik-Radzi

Gofin.pl/Rachunkowosc

Gofin.pl/Bilans

Gofin.pl/Podatki

Gofin.pl/Prawo-Pracy

Gofin.pl/Skladki-Zasilki
POMOCNIKI Księgowego

Aplikacja GOFIN NEWS

Interpretacje Urzędowe

Polski Ład

Schematy opodatkowania

Aplikacja GOFIN SGK

Kalkulatory

Przepisy Prawne

Terminy

Asystent Gofin

Klasyfikacje

Przewodnik Kadrowego

Wideopomocniki

Druki Gofin

Newslettery

Przewodnik Księgowego

Wskaźniki

Forum

Orzecznictwo dla firm

Przewodnik VAT

Wszystko dla Księgowych

Indeks Księgowań BUDŻET

Serwis Plan Kont

Pytania Czytelników

Indeks Księgowań FIRMA

Podcasty

Tarcza Antykryzysowa
Serwisy specjalistyczne

Czas Pracy

Podatek Dochodowy

Rozliczenie Delegacji

Vademecum Księgowego

Kalkulatory Podatkowe

Podatek VAT

Rozliczenia Podatkowe

Vademecum Podatnika

Kasa Fiskalna

Poradnik Księgowego

Rozliczenie Wynagrodzenia

Zakładamy Firmę

Kodeks Pracy

Porady Podatkowe

Vademecum Kadrowego

Zasiłki
więcej serwisów specjalistycznych
Sklep internetowy - sklep.gofin.pl
Promocje
Czasopisma i Gazeta
Serwisy internetowe
Inne produkty i usługi
Wydawnictwo Podatkowe GOFIN »
Biuro Obsługi Klienta »
Zamów egzemplarz bezpłatny »
Sklep internetowy»
 
O Wydawnictwie
Księgowi stawiają na GOFIN
Sklep internetowy
PoznajProdukty.gofin.pl
Regulamin
Reklama
Newslettery
Kontakt
Polityka prywatności
Procedura zgłoszeń wewnętrznych
Wydawnictwo Podatkowe GOFIN sp. z o.o., ul. Owocowa 8, 66-400 Gorzów Wlkp., tel. 95 720 85 40, faks 95 720 85 60
Wydawnictwo Podatkowe GOFIN
Szanowny Użytkowniku !
Prosimy o zapoznanie się z poniższymi informacjami oraz wyrażenie dobrowolnej zgody poprzez kliknięcie przycisku "Zgadzam się".
Pamiętaj, że zawsze możesz wycofać zgodę.

Serwis internetowy, z którego Pani/Pan korzysta używa plików cookies w celu:

  • niezbędnego zapewnienia prawidłowego działania Serwisów (utrzymania sesji),
  • realizacji funkcjonalności ułatwiających obsługę Serwisu,
  • dopasowania reklam w serwisach społecznościowych,
  • analizy statystyk ruchu i reklam w Serwisach,
  • zbierania i przetwarzania danych w celu wyświetlenia reklam produktów własnych i klientów reklamowych oraz do śledzenia użytkowników, kliknięć i konwersji wyświetlanych reklam.
Pliki cookies

Są to pliki instalowane w urządzeniach końcowych osób korzystających z Serwisu, w celu administrowania Serwisem, dostosowania treści Serwisu do preferencji użytkownika, utrzymania sesji użytkownika oraz dla celów statystycznych i targetowania reklamy (dostosowania treści reklamy do indywidualnych potrzeb użytkownika). Informujemy, że istnieje możliwość określenia przez użytkownika Serwisu warunków przechowywania lub uzyskiwania dostępu do informacji zawartych w plikach cookies za pomocą ustawień przeglądarki lub konfiguracji usługi. Szczegółowe informacje na ten temat dostępne są u producenta przeglądarki, u dostawcy usługi dostępu do internetu oraz w Polityce prywatności i plików cookies.

Administratorzy

Administratorem Pana/Pani danych osobowych w związku z korzystaniem z Serwisu internetowego i jego usług jest Wydawnictwo Podatkowe GOFIN sp. z o.o. Administratorem danych osobowych w plikach cookies w związku z wyświetleniem analizy statystyk i wyświetlaniem spersonalizowanych reklam są partnerzy Wydawnictwa Podatkowego GOFIN sp. z o.o., Google Inc, Facebook Inc.

Jakie ma Pani/Pan prawa w stosunku do swoich danych osobowych?

Wobec swoich danych mają Pan/Pani prawo do żądania dostępu do swoich danych, ich sprostowania, usunięcia lub ograniczenia przetwarzania, prawo do wniesienia sprzeciwu wobec przetwarzania danych, prawo do cofnięcia zgody.

Podstawy prawne przetwarzania Pani/Pana danych osobowych
  • Niezbędność przetwarzania danych w związku z wykonaniem umowy.

    Umowa w naszym przypadku oznacza akceptację regulaminu naszych usług. Jeśli zatem akceptuje Pani/Pan umowę na realizację danej usługi, to możemy przetwarzać Pani/Pana dane w zakresie niezbędnym do realizacji tej umowy.

  • Niezbędność przetwarzania danych w związku z prawnie uzasadnionym interesem administratora.

    Dotyczy sytuacji, gdy przetwarzanie danych jest uzasadnione z uwagi na usprawiedliwione potrzeby administratora, tj. dokonanie pomiarów statystycznych, ulepszania naszych usług, jak również prowadzenie marketingu i promocji własnych usług administratora.

  • Dobrowolna zgoda.

    Aby móc realizować cele:
    - zapamiętania Pani/Pana decyzji w Serwisach w zakresie korzystania z dostępnych opcjonalnie funkcjonalności,
    - analiz statystyk ruchu i reklam w Serwisach,
    - dopasowania reklam w serwisach społecznościowych,
    - wyświetlania spersonalizowanych reklam produktów własnych i klientów reklamowych oraz do śledzenia użytkowników, kliknięć i konwersji wyświetlanych reklam w związku z odwiedzaniem niniejszego Serwisu internetowego partnerzy Wydawnictwa Podatkowego Gofin sp. z o.o. muszą mieć możliwość przetwarzania Pani/Pana danych.

Potrzebna jest Nam Pani/Pana dobrowolna zgoda na zapisy w plikach cookies w celach realizacji powyższych celów.
W związku z powyższymi wyjaśnieniami prosimy o wyrażenie dobrowolnej zgody na zapisywanie informacji w plikach cookies przez kliknięcie przycisku „Zgadzam się” lub „Nie teraz” w przypadku braku zgody. Istnieje możliwość skorzystania z „ustawień zaawansowanych” plików cookies w celu określenia indywidualnych zgód na zapis wybranych plików cookies realizujących wybrane cele.